Una nueva variante de Zeus para redes P2P, descubierto la semana pasada por el proveedor de seguridad Trusteer, está tratando de estafar a los usuarios de algunas de las marcas más populares y confiables de Internet – Facebook, Google Mail, Hotmail y Yahoo – con promesas de rebajas y nuevas medidas de seguridad.
En una entrada del blog, el CTO de Trusteer, Amit Klein afirma que las estafas tratan de “explotar la relación de confianza entre los usuarios y los proveedores de servicios conocidos, así como las marcas Visa y MasterCard, para robar datos de los usuarios de tarjetas de débito”. Como de costumbre, los estafadores tratan de engañar a los usuarios para que proporcionen información confidencial financiera: número de tarjeta de débito, fecha de caducidad, código de seguridad, y el PIN. En Facebook, una red para inyectar dinero en efectivo ofrece un 20 por ciento de oferta de recuperación mediante la vinculación de una tarjeta Visa o MasterCard de débito a su cuenta. Lo que es único acerca de esto, Klein escribe, es que “en los ataques en contra de los usuarios de Google Mail, Hotmail y Yahoo, Zeus ofrece una forma supuestamente nueva de autenticación en el servicio de 3D Secure que ofrecen los programas SecureCode Verified by Visa y MasterCard.” El director de Trusteer de marketing de producto, Oren Kedem, dice que mientras las etafas que se inyectan en la Web son comunes, esta es la primera vez que ha visto una estafa tratar de usar 3D Secure. “Muchos clientes están familiarizados con él servicio”, dice, “y se ha convertido en tan digno de confianza que las víctimas pudieran verlo como un enfoque plausible”. En este caso, el señuelo es la conveniencia. Las víctimas se les dice que si vinculan su tarjeta de débito a sus cuentas de correo web, “todas las futuras autenticaciones 3D Secure se llevarán a cabo a través de Google Checkout y checkout Yahoo, respectivamente,” y, por supuesto, de que serán protegidos contra el fraude en el futuro, al proporcionar su información confidencial. El ataque de Hotmail es similar. Los usuarios están “tranquilos” ya que, el “PIN de su tarjeta de débito sólo se utiliza para fines de verificación. Se activa la opción CashBack. Nunca revele su PIN de débito a nadie, incluyendo familiares y amigos. Su débito con PIN es confidencial y es para su uso en línea.” Kedem dice que no sabe cuántas personas han caído en la estafa “pero dado que esta es una versión de Zeus, que es el N º 1 de malware y ya casi todo el mundo usa uno de estos servicios, hay un gran número de objetivos posibles”. Trusteer ha notificado a las empresas [financieras] de la nueva variante. Kedem dice que la forma más común de infectarse con el malware Zeus es por el “drive-by” descargar – con sólo visitar una página web con el presente malware. A continuación, se hace cargo el navegador del usuario cuando uno de los lugares elegidos, incluyendo Facebook, es visitado. Él dice que los usuarios deben tomar las precauciones con cualquier oferta no solicitada que ven en línea que le solicita información confidencial. Otra forma de saberlo es comprobar el uso de la lengua. Si bien esta estafa utiliza un Inglés relativamente correcto, hay errores. En la línea sobre el PIN de débito, la web se inyectan utiliza la minúscula “pin” una sola vez, y en mayúsculas las otras dos veces. También dice: “Se activa la opción CashBack,” dejando fuera “de” antes de Cashback. La web de Gmail inyectada comienza con: “Estamos encantados de ofrecerle participar …” Este manejo del inglés debería causar suspicacia siempre. Hay poco más para advertir a las posibles víctimas, escribe Klein. “Estas web inyectadas están bien diseñadas, tanto desde el punto de vista visual y de contenido, que dificultan su identificación como un fraude”.
